폐쇄! 최대 보안을 위해 Windows 10 강화

Microsoft가 이전 제품보다 Windows 10을 더 안전하게 만들어 보안 제품으로 포장했다는 소식을 들었을 것입니다. 이러한 자랑스러운 보안 기능 중 일부는 즉시 사용할 수 없거나 추가 하드웨어가 필요하다는 사실을 모를 수도 있습니다. 즉, 원하는 보안 수준을 얻지 못할 수 있습니다.

Credential Guard와 같은 기능은 특정 버전의 Windows 10에서만 사용할 수있는 반면 Windows Hello에서 약속 한 고급 생체 인식은 타사 하드웨어에 막대한 투자가 필요합니다. Windows 10은 현재까지 가장 안전한 Windows 운영 체제 일 수 있지만 보안에 정통한 조직 및 개별 사용자는 최적의 보안을 달성하는 데 필요한 기능을 잠금 해제하기 위해 다음 하드웨어 및 Windows 10 버전 요구 사항을 염두에 두어야합니다. .

참고 : 현재 Windows 10에는 Home, Pro, Enterprise 및 Education의 네 가지 데스크톱 버전이 있으며 각각의 여러 버전이 있으며 다양한 수준의 베타 및 미리보기 소프트웨어를 제공합니다. 의 Woody Leonard는 사용할 Windows 10 버전을 분석합니다. 다음 Windows 10 보안 가이드는 Insider Previews 또는 Long Term Servicing Branch가 아닌 표준 Windows 10 설치에 중점을두고 있으며 관련있는 경우 1 주년 업데이트를 포함합니다.

올바른 하드웨어

Windows 10은 요구되지 않는 최소 하드웨어 요구 사항으로 광범위한 네트워크를 제공합니다. 다음 사항이 있으면 Win7 / 8.1에서 Win10으로 업그레이드하는 것이 좋습니다. 1GHz 이상의 프로세서, 2GB 메모리 (1 주년 업데이트 용), 16GB (32 비트 OS 용) 또는 20GB (64 비트 OS) ) 디스크 공간, WDDM 1.0 드라이버가 포함 된 DirectX 9 그래픽 카드 이상, 800x600 해상도 (7 인치 이상 화면) 디스플레이. 그것은 지난 10 년 동안의 거의 모든 컴퓨터를 설명합니다.

그러나 위의 최소 요구 사항은 Windows 10의 많은 암호화 기반 기능을 지원하지 않으므로 기준 시스템이 완전히 안전하다고 기대하지 마십시오. Win10의 암호화 기능에는 암호화를위한 안전한 저장 영역을 제공하는 Trusted Platform Module 2.0이 필요합니다. 키를 사용하여 암호를 암호화하고, 스마트 카드를 인증하고, 불법 복제를 방지하기위한 안전한 미디어 재생, VM 보호, 변조로부터 하드웨어 및 소프트웨어 업데이트를 보호하는 데 사용됩니다.

최신 AMD 및 Intel 프로세서 (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor)는 이미 TPM 2.0을 지원하므로 지난 몇 년 동안 구입 한 대부분의 컴퓨터에는 필요한 칩이 있습니다. 예를 들어 Intel의 vPro 원격 관리 서비스는 TPM을 사용하여 원격 PC 수리를 승인합니다. 그러나 특히 1 주년 업데이트에 펌웨어 또는 별도의 물리적 칩으로 TPM 2.0 지원이 필요하므로 업그레이드하는 시스템에 TPM 2.0이 있는지 확인하는 것이 좋습니다. 새 PC 또는 Windows 10을 처음부터 설치하는 시스템에는 처음부터 TPM 2.0이 있어야합니다. 즉, 배송 될 때 하드웨어 공급 업체에서 사전 프로비저닝 한 EK (인증 키) 인증서가 있어야합니다. 또는 인증서를 검색하고 처음 부팅 할 때 TPM에 저장하도록 장치를 구성 할 수 있습니다.

TPM 2.0을 지원하지 않는 구형 시스템 (칩이 설치되지 않았거나 TPM 1.2 만있을만큼 충분히 오래 되었기 때문에)은 TPM 2.0 지원 칩을 설치해야합니다. 그렇지 않으면 기념일 업데이트로 업그레이드 할 수 없습니다.

일부 보안 기능은 TPM 1.2에서 작동하지만 가능하면 TPM 2.0을 사용하는 것이 좋습니다. TPM 1.2는 RSA 및 SHA-1 해싱 알고리즘 만 허용하며 SHA-1에서 SHA-2 로의 마이그레이션이 잘 진행되고 있다는 점을 고려할 때 TPM 1.2를 고수하는 것은 문제가됩니다. TPM 2.0은 SHA-256 및 타원 곡선 암호화를 지원하므로 훨씬 더 유연합니다.

UEFI (Unified Extensible Firmware Interface) BIOS는 가장 안전한 Windows 10 경험을 달성하기위한 다음 필수 하드웨어입니다. 보안 부팅을 허용하려면 UEFI BIOS가 활성화 된 상태로 장치를 배송해야합니다. 이렇게하면 알려진 키로 서명 된 운영 체제 소프트웨어, 커널 및 커널 모듈 만 부팅 중에 실행될 수 있습니다. 보안 부팅은 루트킷과 BIOS 맬웨어가 악성 코드를 실행하지 못하도록 차단합니다. 보안 부팅에는 UEFI v2.3.1 에라타 B를 지원하고 UEFI 서명 데이터베이스에 Microsoft Windows 인증 기관이있는 펌웨어가 필요합니다. 보안 측면에서 보자면 마이크로 소프트가 Windows 10에 보안 부팅을 필수로 지정한 것은 Windows 10 지원 하드웨어에서 서명되지 않은 Linux 배포판 (예 : Linux Mint)을 실행하기가 더 어려워지면서 논란이되었습니다.

장치가 UEFI 2.31 이상을 준수하지 않으면 1 주년 업데이트가 설치되지 않습니다.

Windows 10 기능 및 하드웨어 요구 사항의 간단한 목록
Windows 10 기능 TPM 입 / 출력 메모리 관리 장치 가상화 확장 스키 UEFI 2.3.1 x64 아키텍처 전용
크리 덴셜 가드 추천 미사용 필수 필수 필수 필수
장치 가드 미사용 필수 필수 필수 필수 필수
BitLocker 추천 필요하지 않음 필요하지 않음 필요하지 않음 필요하지 않음 필요하지 않음
구성 가능한 코드 무결성 필요하지 않음 필요하지 않음 필요하지 않음 필요하지 않음 추천 추천
Microsoft Hello 추천 필요하지 않음 필요하지 않음 필요하지 않음 필요하지 않음 필요하지 않음
VBS 필요하지 않음 필수 필수 필수 필요하지 않음 필수
UEFI 보안 부팅 추천 필요하지 않음 필요하지 않음 필요하지 않음 필수 필요하지 않음
신중한 부팅을 통한 장치 상태 증명 TPM 2.0 필요 필요하지 않음 필요하지 않음 필요하지 않음 필수 필수

인증, 신원 강화

암호 보안은 지난 몇 년 동안 중요한 문제였습니다. Windows Hello는 생체 인식 로그인과 2 단계 인증을 통합하고 확장하여 암호가없는 사용자를 "인식"하므로 암호없는 세상에 더 가까이 다가 갈 수 있습니다. 또한 Windows Hello는 Windows 10의 가장 액세스하기 쉽고 액세스하기 어려운 보안 기능이기도합니다. 예, 모든 Win10 버전에서 사용할 수 있지만 제공해야하는 기능을 최대한 활용하려면 상당한 하드웨어 투자가 필요합니다.

자격 증명과 키를 보호하려면 Hello에 TPM 1.2 이상이 필요합니다. 그러나 TPM이 설치되거나 구성되지 않은 장치의 경우 Hello는 대신 소프트웨어 기반 보호를 사용하여 자격 증명과 키를 보호 할 수 있으므로 Windows Hello는 거의 모든 Windows 10 장치에서 액세스 할 수 있습니다.

그러나 Hello를 사용하는 가장 좋은 방법은 생체 인식 데이터 및 기타 인증 정보를 온보드 TPM 칩에 저장하는 것입니다. 하드웨어 보호로 인해 공격자가이를 훔치기가 더 어려워지기 때문입니다. 또한 생체 인식 인증을 최대한 활용하려면 특수 조명 적외선 카메라, 전용 홍채 또는 지문 판독기와 같은 추가 하드웨어가 필요합니다. 대부분의 비즈니스 급 노트북과 여러 라인의 소비자 용 노트북에는 지문 스캐너가 함께 제공되므로 기업은 Windows 10의 모든 버전에서 Hello를 시작할 수 있습니다. 홍채 스캔을위한 스캐너이므로 Windows Hello의 고급 생체 인식은 일상적인 현실이 아닌 대부분의 미래 가능성입니다.

모든 Windows 10 버전에서 사용할 수있는 Windows Hello 도우미 장치는 사용자가 전화, 액세스 카드 또는 웨어러블과 같은 외부 장치를 Hello에 대한 하나 이상의 인증 요소로 사용할 수 있도록하는 프레임 워크입니다. Windows Hello Companion Device를 사용하여 여러 Windows 10 시스템간에 Windows Hello 자격 증명을 사용하여 로밍하려는 사용자는 각각에 Pro 또는 Enterprise가 설치되어 있어야합니다.

이전에 Windows 10에는 사용자가 Hello 자격 증명을 통해 신뢰할 수있는 응용 프로그램에 로그인 할 수있는 Microsoft Passport가있었습니다. Anniversary Update를 통해 Passport는 더 이상 별도의 기능으로 존재하지 않지만 Hello에 통합됩니다. FIDO (Fast Identity Online) 사양을 사용하는 타사 응용 프로그램은 Hello를 통해 싱글 사인온을 지원할 수 있습니다. 예를 들어 Dropbox 앱은 Hello를 통해 직접 인증 할 수 있으며 Microsoft의 Edge 브라우저를 사용하면 Hello와 통합하여 웹으로 확장 할 수 있습니다. 타사 모바일 장치 관리 플랫폼에서도 기능을 켤 수 있습니다. 암호없는 미래가 다가오고 있지만 아직은 아닙니다.

맬웨어 방지

Windows 10은 기존의 바이러스 백신을 뒤집는 기술인 Device Guard도 도입했습니다. Device Guard는 신뢰할 수있는 응용 프로그램 만 설치할 수 있도록 허용 목록에 의존하여 Windows 10 장치를 잠급니다. 모든 서명되지 않은 응용 프로그램과 맬웨어가 실행되지 않도록하는 파일의 암호화 서명을 확인하여 안전하다고 판단되지 않는 한 프로그램을 실행할 수 없습니다. Device Guard는 Microsoft의 자체 Hyper-V 가상화 기술을 사용하여 시스템 관리자가 액세스하거나 조작 할 수없는 보호 된 가상 머신에 화이트리스트를 저장합니다. Device Guard를 활용하려면 컴퓨터에서 Windows 10 Enterprise 또는 Education을 실행하고 TPM, 하드웨어 CPU 가상화 및 I / O 가상화를 지원해야합니다. Device Guard는 보안 부팅과 같은 Windows 강화에 의존합니다.

Enterprise 및 Education에서만 사용할 수있는 AppLocker를 Device Guard와 함께 사용하여 코드 무결성 정책을 설정할 수 있습니다. 예를 들어 관리자는 Windows 스토어에서 장치에 설치할 수있는 범용 응용 프로그램을 제한 할 수 있습니다. 

구성 가능한 코드 무결성은 실행중인 코드가 신뢰할 수 있고 현명한 지 확인하는 또 다른 Windows 구성 요소입니다. 커널 모드 코드 무결성 (KMCI)은 커널이 서명되지 않은 드라이버를 실행하지 못하도록합니다. 관리자는 각 바이너리 실행 파일에 대한 개별 해시 값뿐만 아니라 인증 기관 또는 게시자 수준에서 정책을 관리 할 수 ​​있습니다. 대부분의 상용 맬웨어는 서명되지 않은 경향이 있으므로 코드 무결성 정책을 배포하면 조직이 서명되지 않은 맬웨어로부터 즉시 보호 할 수 있습니다.

Windows XP 용 독립 실행 형 소프트웨어로 처음 출시 된 Windows Defender는 Windows 8에서 스파이웨어 방지 및 바이러스 백신과 함께 Microsoft의 기본 맬웨어 보호 제품군이되었습니다. 타사 맬웨어 방지 제품군이 설치되면 Defender가 자동으로 비활성화됩니다. 설치된 경쟁 바이러스 백신 또는 보안 제품이없는 경우 특정 하드웨어 요구 사항없이 모든 버전에서 사용할 수있는 Windows Defender가 켜져 있는지 확인합니다. Windows 10 Enterprise 사용자의 경우 온라인 공격을 감지하기 위해 실시간 동작 위협 분석을 제공하는 Windows Defender Advanced Threat Protection이 있습니다.

데이터 보안

암호화 된 컨테이너의 파일을 보호하는 BitLocker는 Windows Vista부터 사용되어 왔으며 Windows 10에서 그 어느 때보 다 향상되었습니다. 1 주년 업데이트를 통해 암호화 도구는 Pro, Enterprise 및 Education 버전에서 사용할 수 있습니다. Windows Hello와 마찬가지로 BitLocker는 TPM이 암호화 키를 보호하는 데 사용되는 경우 가장 잘 작동하지만 TPM이 없거나 구성되지 않은 경우 소프트웨어 기반 키 보호를 사용할 수도 있습니다. 암호로 BitLocker를 보호하면 가장 기본적인 방어가 제공되지만 더 좋은 방법은 스마트 카드 또는 암호화 파일 시스템을 사용하여 파일 암호화 인증서를 만들어 관련 파일 및 폴더를 보호하는 것입니다.

시스템 드라이브에서 BitLocker가 활성화되고 무차별 대입 보호가 활성화 된 경우 Windows 10은 지정된 수의 잘못된 암호 시도 후 PC를 다시 시작하고 하드 드라이브에 대한 액세스를 잠글 수 있습니다. 사용자는 장치를 시작하고 디스크에 액세스하려면 48 자 BitLocker 복구 키를 입력해야합니다. 이 기능을 활성화하려면 시스템에 UEFI 펌웨어 버전 2.3.1 이상이 있어야합니다.

이전의 EDP (Enterprise Data Protection) 인 Windows Information Protection은 Windows 10 Pro, Enterprise 또는 Education 버전에서만 사용할 수 있습니다. 영구 파일 수준 암호화 및 기본 권한 관리를 제공하는 동시에 Azure Active Directory 및 권한 관리 서비스와 통합됩니다. 정보 보호에는 설정을 관리하기 위해 Microsoft Intune 또는 VMware의 AirWatch와 같은 타사 플랫폼 또는 SCCM (System Center Configuration Manager)과 같은 일종의 모바일 장치 관리가 필요합니다. 관리자는 업무 데이터에 액세스 할 수있는 Windows 스토어 또는 데스크톱 애플리케이션 목록을 정의하거나 완전히 차단할 수 있습니다. Windows Information Protection은 데이터에 액세스 할 수있는 사용자를 제어하여 우발적 인 정보 유출을 방지합니다. Active Directory는 관리를 용이하게하지만 정보 보호를 사용할 필요는 없습니다.Microsoft에 따르면.

보안 방어 가상화

Windows 10 Enterprise 및 Education에서만 사용할 수있는 Credential Guard는 VBS (가상화 기반 보안)를 사용하여 "비밀"을 격리하고 권한있는 시스템 소프트웨어에 대한 액세스를 제한 할 수 있습니다. 보안 연구원이 최근에 보호를 우회하는 방법을 찾았지만 해시 패스 공격을 차단하는 데 도움이됩니다. 그럼에도 불구하고 Credential Guard를 사용하는 것이 전혀 사용하지 않는 것보다 낫습니다. x64 시스템에서만 실행되며 UEFI 2.3.1 이상이 필요합니다. Intel VT-x, AMD-V 및 SLAT와 ​​같은 가상화 확장은 물론 Intel VT-d, AMD-Vi 및 BIOS 잠금과 같은 IOMMU도 활성화해야합니다. Credential Guard에 대한 장치 상태 증명을 사용하려면 TPM 2.0을 사용하는 것이 좋지만 TPM을 사용할 수없는 경우 소프트웨어 기반 보호를 대신 사용할 수 있습니다.

또 다른 Windows 10 Enterprise 및 Education 기능은 Windows에 저장된 도메인 자격 증명을 보호하는 Hyper-V 컨테이너 인 가상 보안 모드입니다.